Vlákno názorů k článku Krademe kryptoměny pomocí BGP aneb proč je dobré mít HTTPS a DNSSEC od msx. - Celkom tomu nerozumiem, takže mám otázku. Ak niekto...

Celkom tomu nerozumiem, takže mám otázku. Ak niekto používa HSTS, tak ho tam prehliadač nepustí, ak nie je certifikát v poriadku. To je dobre. Lenže bežný používateľ nevie, čo je HSTS a povedzme, že navštívi podvrhnutú stránku bez HSTS. Vtedy je HSTS na strane pôvodnej stránky zbytočné, keďže na nej vôbec nie je. Aký je potom presný význam HSTS? To, že odmietne nedôveryhodné spojenie, to je v poriadku. Lenže podstatou je, aby sa dosiahlo stavu, že podvrhnuté spojenie bude odmietnuté za každú cenu. Či už návštevníkom alebo serverom. Lenže, ak to server bez HSTS neurobí a návštevník vidí, že certifikát je dôveryhodný a nevšimne si iného detailu, napr., preklep v názve stránky (písmeno l vymenené za písmeno I (schválne, ktoré je ktoré?)), čo robiť vtedy? A nie je nutné to zamieňať ani za azbuku, či čo. Veď ani ja si pri každej návšteve Fio nekontrolujem, či je certifikát ozaj ten správny.

Expiraci HSTS si nastavuje autor/spravce sluzby. Muze byt nastavena na 1 den nebo klidne na 10 let. Z toho ale jde pochopit, ze aby bylo HSTS vyuzito, musi prvne navstevni nacist web, takze pri prvni nacteni se HSTS nevyuzije. Az nasledne se zacne vyuzivat protoze, to uz prohlizes dostal HTTP hlavicku s onou expiraci. Tento problem resi sluzba HSTS-Preload. Ta vyzaduje validni SSL certifikat, HSTS nastavene s platnosti minimalne 1 rok. Z Databaze HSTS-Preload si prohlizece (snad skoro vsechny) stahuji ony HSTS hlavicky a ukladaji si je, takze i pri prvnim nasteni webu si uz prohlizec vynucuje HTTPS.

Max age u HSTS klidně může být 10 let, ale prohlížeče si ji s tak dlouhou platností neuloží (zkrátí ji na tuším že 2 nebo 3 roky).

Uzivatel si HSTS nenastavuje. Troufam si rict ze vsechny majoritni prohlizece maji HSTS zapnute a horko tezko se to vypina. Rozdil mezi klasickou navstevou s a bez HSTS je, ze pokud je certifikat neplatny, tak u navstevy bez HSTS zobrazi prohrizec varovani o nevalidnim certifikatu a ma tam schovane tlacitko "Ignorovat varovani", coz je presne v clanku zmineny pripad. U navstevi webu s HSTS bez platneho certifikatu, nedovoli prohlizes uzivate vubec na stranku pristoupit, takze je uzivatel v bezpeci.